先回味一則舊聞:在上個月的Pwn2Own 2014黑客大賽上,來自中國的Keen Team以15秒攻破Mac OS X10.9.2和20秒攻破Windows 8.1的成績奪取了冠軍。安全
若是我沒記錯的話,這是中國第一次在Pwn2Own上奪冠。Pwn2Own在我看來教育和宣傳的意義遠大於技術交流的意義。它每一年都會請來世界上最頂尖的黑客對各大廠商的系統進行攻擊,吸足了眼球。微信
之前我文章裏曾經寫過,我認爲中國在安全研究的某些方面是世界領先的,但有些讀者不信,包括後來寫的一些黑客文章,不少讀者認爲純屬扯淡:這怎麼可能?中國怎麼可能有這麼厲害的黑客?但Keen Team此次在Pwn2Own的奪冠,我想很能說明一些問題了,這可不是什麼中國某某大學舉行的黑客Wargame比賽。app
我和Keen Team裏的兩我的比較熟,一個應該算是創始人大牛蛙,另外一個則是頗具傳奇色彩的吳石。post
大牛蛙之前在微軟作安全,我記得當時他也是在博客上寫了一些安全文章,後來我就和他聯繫上了,作了一些交流。由於安全行業裏很是重要的一個東西叫SDL(安全開發生命週期),而SDL是比爾蓋茨在微軟首先倡導的,因此我向他請教過一些SDL方面的問題。後來在08年的時候還專門請大牛蛙來支付寶的「精武門安全大會」作了一次關於SDL的分享。測試
大牛蛙長得不像「牛蛙」,反而很帥,屬於男神的那級別。後來我就失去他的消息了,彷佛整我的消失了通常,直到Keen Team創建後,我打聽到原來和他有關。最近一次見到他,是在去年的KCon上,當時好像是Keen Team的陳良來分享一個iOS的漏洞。而後我發現這麼多年不見,他蓄起了鬍子,下巴底下一小撮,很Man的味道。url
吳石則是一個典型的Geek,是一個獨行俠。他就像是忽然憑空出現通常,一開始就表現出了極強的技術實力。最先他組了個團隊叫team509,聽說一開始有兩我的,但我歷來就沒有見過另外一我的。後來這個team一直在發佈各類漏洞,都是能直接遠程執行命令的那種級別。我一直懷疑這個team其實就他一我的,他就是team509。根據有位記者寫的,吳石是CVE裏報告漏洞最多的人。若是這個統計沒錯的話,那就太可怕了。CVE是全球最大的漏洞記錄庫,能在裏面佔據第一,就是實至名歸的「漏洞之王」了。spa
吳石之因此能挖這麼多漏洞,與他本身發展出的一套Fuzzing方法有關。Fuzzing技術應該是安全行業裏很是重要的一個里程碑,它用構造大量樣本並執行測試、捕獲異常的思路,代替了直接逆向看反彙編代碼挖漏洞的思路。而吳石在這方面的造詣是獨步全球的。.net
我分別在幾回會議上見過吳石,後來還邀請他來阿里作過一次交流,至於交流的具體內容我已經忘掉了。但他在夏天裏那汗流浹背,一臉憨厚的樣子始終徘徊在個人記憶裏。orm
比較好玩的是,我曾經請吳石加入過我創辦的安全組織幻影,成爲核心成員之一。因此有段時間咱們的核心成員名單上,會有「wushi」這個ID。幻影的核心成員們又是另外的long long story了,裏面也有不少很傳奇的人。
吳石後來的日子彷佛過的不是特別好,安全方面的才華沒法完全發揮,他選擇了將大量的漏洞賣給ZDI,這是美國一家收購漏洞的公司。這種行爲在今天看來仍然十分的敏感,由於ZDI和美國政府有合做。但我特別不理解的是,有關部門既然會敏感,那爲何又不把這樣的天才好好供起來呢?
中國最優秀的安全人才,出國了一批,本身開公司了一批,跑去作黑產了一批,看着安全行業沒前途因而轉行了一批,剩下還留守在這個行業裏的人已是最苦逼的一批了。有時候我會感嘆中國安全行業黃金時代的消逝。歷史每每是驚人類似的,一個時代的優秀的人才老是成批的涌現,再成批的褪去。xfocus、whitecell、0x55七、幻影、灰色軌跡、邪惡八進制,伴隨着這一個個論壇和組織的消逝,喪失的是技術分享的精神,和黃金一代那一個個聲名卓著的ID。
所以當Keen Team在Pwn2Own 2014上奪冠後打出橫幅:ChinaTeam China Dream的那一刻,我只想哭,只爲技術人的那份執着而感動,他們此前從未獲得應有的尊重,但卻始終堅持着一份樸素的理想。
(今日題圖:keenteam 在Pwn2Own 2014上奪冠的一刻)
點擊閱讀原文,能夠查看一位記者寫的關於吳石的一篇文章。
=== 道哥的黑板報 ===
微博ID:aullik5
交流、提問可直接回復消息,每條都看,但不必定每條都回。
回覆m查看推薦文章。
歷史文章存放在:http://taosay.net